Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11.

Ähnliche Präsentationen


Präsentation zum Thema: "I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11."—  Präsentation transkript:

1 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at1 Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11. 2003 Neuerungen in Version 2.1 DI Herbert Leitold Zentrum für sichere Informations- technologie Austria, A-SIT

2 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at2 Inhaltsübersicht Einleitung Inhaltliche Neuerungen Technische Neuerungen Zusammenfassung

3 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at3 Teile des IT-SIHA Teil 1 – IT Sicherheitsmanagement –Allgemeine Anleitung für die Umsetzung eines kontinuierlichen IT-Sicherheitsprozesses Teil 2 – IT Sicherheitsmaßnahmen –auf organisatorischer, personeller, infrastruktureller und technischer Ebene –Bedachtnahme auf spezifisch österreichische Gegebenheiten Normen, Gesetze –Nutzung von vergleichbaren Standards BSI IT-Grundschutzhandbuch Zusammenarbeit mit BSI, ISB

4 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at4 Vergleich Sicherheitskriterien aus initi@tive D 21 Arbeitsgruppe 5 IT-Sicherheitskriterien im Vergleich http://www.initiatived21.de IT-Grundschutz-HB ISO 9000 ISO 17799 ISO 13335 CobiT Taskforce Sicheres Internet DS-Produktaudit (Schleswig Holst.) FIPS-140 ITSEC Common Criteria Technisch nicht technisch Produkt- bezogen System- bezogen österr. IT-SIHA BSI IT-GSHB BS 7799

5 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at5 Überlegungen zu SIHA alt Aktualität –Teil 1 im Wesentlichen aus 1998, seither gesetzliche Änderungen, update von Normen –Teil 2 Version 2.0 – September 2001, seither Konzept Bürgerkarte, IKT Board, Operative Unit, etc. Volumen –Fließtext (90 + 280 Seiten) Zielgruppenorientierung Wartbarkeit –Für die EntwicklerInnen des SIHA Einbringen von Aktualisierungen –Für die AnwenderInnen des SIHA Einphasen von Änderungen nach einer Umsetzung

6 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at6 Ziele eines Updates Zielgruppenorientierung –Anpassbarkeit an Organisationseinheit –Benutzerspezifische Ansichten Unterstützung der UmsetzerInnen –Checklisten –Technische Hilfsmittel Wartbarkeit –Für die EntwicklerInnen des SIHA Zeitbezug von Referenzen auflösen –Für die AnwenderInnen des SIHA Automatismen für delta-Dokumente

7 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at7 Inhaltliche Neuerungen SIHA - Teil 1 Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.) SIHA - Teil 2 Stabsstelle, IKT-Board (bis 11.3.03) diverse weitere Dokumente Sicherheits-/Verteidigungsdoktrin K-Fall Überlegungen BKA diverse technische Entwicklungen z.B. WLAN, Common Criteria

8 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at8 Technische Neuerungen Konzept Zielgruppenorientierung Spezifische Ansichten Checklisten

9 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at9 Grundüberlegung Sicherheitshandbuch Teil 2 soll –nicht Detailtiefe der BSI GSHB Modellierung aufweisen –trotzdem automatisierte Elemente aufweisen –nicht auf hohe Abstraktion BS7799 zurückfallen –sondern konkrete Vorgaben für mittleren Schutzbedarf pragmatischer, methodischer Mittelweg Entwicklung aus der Sicht der Anwendbarkeit getrieben

10 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at10 Zielgruppenorientierung statische Sichtweise Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit personalisierbar sein –Anpassen an Anwender im Großen Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben –Größe der Organisationseinheit –Umfeld öffentl. Verwaltung vs. Privatwirtschaft organisationsize { SMALL | LARGE } Attribute { egovernment | industry }

11 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at11 Sicherheitshandbuch soll für konkrete Be- trachterIn / UmsetzerIn personalisierbar sein –Daraus ergeben sich anwenderspezifische Ansichten Rollenmodell der Ansichten Zielgruppenorientierung dynamische Sichtweise RELEVANT FÜR Management Leitung Umsetzung Wartung AnwenderInKunde INTERN (in OE) Entscheidungs trägerIn z.B. Sach- bearbeiterIn EXTERN (außer OE) z.B. externer Dienstleister

12 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at12 Allg. IT-Sicherheitshandbuch Ansicht MANAGEMENT Ansicht UMSETZERIN Ansicht ANWENDERIN Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.) Sicherheitshandbuch der Org.-Einheit Personalisierung / Konzept

13 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at13 Umsetzung - XML XML Mittel der Wahl –Strukturierung der Daten –Trennung von Information und Darstellung Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden. Wichtige organisatorische Regelungen dafür sind:

14 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at14 Bsp. Übersicht

15 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at15 Bsp. Gesamtansicht

16 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at16 Checklisten Hier Ansicht Anwender

17 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at17 Vorgeschlagene Prioritäten VERBINDLICH –gesetzliche Vorgabe oder IKT-Board Beschluss IKT Board Beschluss für Privatwirtschaft als Information EMPFOHLEN –ist für SIHA Konformität umzusetzen; begründetes Abgehen, wenn Gefährdung anders begegnet SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn ausgelagert) SINNVOLL –Maßnahme/Kriterium, die vorgeschlagen wird, je nach Gegebenheit in OE soll diese über Notwendigkeit entscheiden Auch downgrade auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen INFORMATION –Zusatzinformationen

18 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at18 Zeitbezug Referenzen Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird.

19 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at19 Zusammenfassung Neuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1 Inhaltliche Aktualisierungen Technische Neuausrichtung XML als Datenbasis Damit technische Basis für Zielgruppenorientierung Checklisten Unterstützung in der Umsetzung

20 I T – S I C H E R H E I T S H A N D B U C H 24.11.2003Herbert.Leitold@a-sit.at20 Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria Herbert.Leitold@a-sit. at http://www.a-sit.at Unterstützung IT-Sicherheitshandbuch


Herunterladen ppt "I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11."

Ähnliche Präsentationen


Google-Anzeigen